Deutscher Bundestag – 17. Wahlperiode
– 33 –
Drucksache 17/5200
– Altverträge, die der bis zum 1. September 2009 geltenden Rechtslage schon nicht entsprochen haben sofort
überarbeitet werden;
– alle übrigen Altverträge bis spätestens 31. Dezember 2010 umgestellt werden. Da sich die Rechtslage geändert hat, können sich die Auftragnehmer nicht einer solchen Neugestaltung der Verträge verwehren, zumal das
Gesetz erklärtermaßen lediglich eine Präzisierung vorgenommen hat, die schriftlichen Aufträge also im Prinzip auch schon nach altem Recht entsprechende Regelungen hätten enthalten müssen.
2. Auch nach bisherigem Recht schon hatte sich der Auftraggeber von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. In welcher Form dies zu geschehen hat,
bestimmt das Gesetz nicht, auch nicht nach der zum 1. September 2009 in Kraft getretenen Änderung, obwohl
diese Regelung jetzt zumindest zum Teil bußgeldbewehrt ist.
„Sich überzeugen“ ist aber auf jeden Fall mehr, als die Entgegennahme schriftlicher Erklärungen oder etwa eines
Sicherheitskonzeptes, wenn dessen konkrete Umsetzung nicht in irgendeiner Form überprüft wird. Dies ergibt
sich schon daraus, dass das „Sich überzeugen“ künftig regelmäßig erfolgen muss, was keinen Sinn ergeben
würde, wenn die Abgabe schriftlicher Erklärungen des Auftragnehmers, er beachte alle vertraglichen Vorgaben,
ausreichend wären. Im schriftlichen Bericht des BT-Innenausschusses (Bundestagsdrucksache 16/13657) heißt
es hierzu, es werde davon abgesehen, vorzuschreiben, dass sich der Auftraggeber unmittelbar selbst vor Ort beim
Auftragnehmer überzeugt. Als Möglichkeiten werden auch das Testat eines Sachverständigen oder eine schriftliche Auskunft des Auftragnehmers genannt. Diese muss sich nach Auffassung des BfDI dann aber auf konkrete
Fragen des Auftraggebers beziehen und kann sich nicht auf allgemeine Erklärungen beschränken.
3. Nach § 11 Absatz 2 Satz 4 BDSG hat künftig die erste Überprüfung durch den Auftraggeber vor Beginn der Auftragsdatenverarbeitung stattzufinden. Dies kann bei derzeit bereits laufenden Auftragsdatenverarbeitungen naturgemäß nicht mehr beachtet werden. Wird ein solcher Auftrag allerdings erneuert oder umgestellt (s. o.), muss
eine entsprechende Überprüfung durchgeführt werden, schon allein deswegen, weil in dem neuen, der Gesetzesänderung entsprechenden Auftrag Punkte enthalten sein werden, die bislang nicht vereinbart waren und deswegen auch nicht überprüft worden sind.
Außerdem sollte in diesen Fällen so schnell wie möglich mit den ebenfalls vorgeschriebenen regelmäßigen Überprüfungen (vgl. Nr. 4) begonnen werden.
4. § 11 Absatz 2 Satz 4 BDSG sieht künftig neben der Anfangskontrolle vor Beginn der Auftragsdatenverarbeitung
regelmäßige Überprüfungen vor. Dies gilt ab dem 1. September 2009 für alle Auftragsdatenverarbeitungen, unabhängig davon, ob der Auftrag vor oder nach dem 1. September 2009 erteilt worden ist. In all den Fällen, in denen eine Anfangskontrolle nicht hat stattfinden können, sollte jetzt unverzüglich mit den regelmäßigen Kontrollen begonnen werden. Zwar ist ein Verstoß hiergegen nicht bußgeldbewehrt, gleichwohl aber rechtswidrig und
kann Gegenstand einer Beanstandung sein.
Den zeitlichen Abstand der regelmäßigen Überprüfungen legt das Gesetz bewusst nicht fest, weil dies der in der
Praxis vorkommenden Bandbreite an Auskunftsdatenverarbeitungen nicht gerecht werde. Es ist also im Einzelfall auf den Umfang der Auftragsdatenverarbeitung, das Gefährdungspotential für die Betroffenen, die Innovationsgeschwindigkeit und die Sensibilität der verarbeiteten personenbezogenen Daten abzustellen. Das kann Fristen von weniger als einem Jahr, aber auch längere Zeiträume zur Folge haben. Sind die Zeitabstände allerdings zu
groß (etwa nur alle fünf Jahre), kann von einer regelmäßigen Überprüfung nicht mehr gesprochen werden.
Das Ergebnis der (Anfangs- wie Regel-) Kontrolle ist zu dokumentieren (§ 11 Absatz 2 Satz 5 BDSG). Auch hier
verzichtet der Gesetzgeber auf weitere Ausführungen zu Form und Inhalt der Dokumentierung unter Hinweis auf
die Bandbreite von möglichen Auftragsdatenverarbeitungen. Der Begriff „dokumentieren“ beinhaltet aber bereits,
dass dies in schriftlicher oder sonst nachvollziehbarer Form zu erfolgen hat. Nach Sinn und Zweck der Regelung
muss aus der Dokumentation mindestens der Zeitpunkt der Überprüfung hervorgehen. Außerdem sollte daraus ersichtlich sein, was genau überprüft worden ist, in welcher Form dies geschehen ist und mit welchem Ergebnis.“
2.5
Stiftung Datenschutz nimmt Gestalt an
Die geplante Stiftung Datenschutz kann den Datenschutz
in Deutschland stärken, muss aber unabhängig sein und
auf das bestehende System der Datenschutzaufsicht abgestimmt werden.
In ihrem Koalitionsvertrag haben sich die Regierungsparteien für eine Stärkung des Datenschutzes ausgesprochen.
Hierzu soll eine Stiftung Datenschutz beitragen, die Pro-
dukte und Dienstleistungen auf ihre Datenschutzfreundlichkeit hin prüfen, Bildung im Bereich des Datenschutzes
stärken, den Selbstdatenschutz durch Aufklärung verbessern und ein Datenschutzaudit entwickeln soll. Nach Abschluss der konzeptionellen Vorarbeiten soll die Bundesstiftung im Laufe des Jahres 2011 errichtet werden.
Ich bin der Auffassung, dass die Stiftung Datenschutz zur
Stärkung des Datenschutzes beitragen kann. Allerdings muss
BfDI 23. Tätigkeitsbericht 2009-2010